本文转自:https://search.ruijie.com.cn:8447/rqs/preview.html?#ie=utf-8&wd=eHAiOjE1NDU4NzUxNDcsIm5iZiI6MTU0NTYxNTk0N302018092015040800251LqqZuvMhE7V7Ygl6r5RWsTHbWazT 请详细阅读操作文档,结合实际情况进行配置: 若操作不当将可能导致网络卡顿甚至断网等异常情况。 若网络中存在业务的情况下,请同步客户风险并征得客户同意后再操作。 若您不清楚造成的影响或对操作不熟练,请不要操作,请联系专业的锐捷售后工程师进行评估后再决定是否操作。 一、组网需求 如下网络拓扑,SW1到外网有2个出口 R3和R4,需要实现内网 172.16.1.0/24 访问外网走R3出口,内网 172.16.2.0/24 访问外网走R4出口。 二、组网拓扑 三、配置要点 1、基本ip地址配置 2、基本的ip路由配置,使全网可达 3、在SW1上配置ACL,把内网的流量匹配出来 4、配置策略路由 5、应用策略路由 &nbs......Read More
本文转自:https://search.ruijie.com.cn:8447/rqs/preview.html?#ie=utf-8&wd=eHAiOjE1NDU4NzUxNDcsIm5iZiI6MTU0NTYxNTk0N302018092015040800250LqqZuvMhE7V7Ygl6r5RWsTHbWazT 请详细阅读操作文档,结合实际情况进行配置: 若操作不当将可能导致网络卡顿甚至断网等异常情况。 若网络中存在业务的情况下,请同步客户风险并征得客户同意后再操作。 若您不清楚造成的影响或对操作不熟练,请不要操作,请联系专业的锐捷售后工程师进行评估后再决定是否操作。 应用场景: 当您的网络中的汇聚与核心设备,或者是核心与出口路由器之间有多条链路互联时,普通的路由表的负载或者主备的结果可能无法满足你的需求,或 者你的网络中又引人了一些新的业务,这些网段在你原先的网络设计时没有考虑到,此时出现新的路由访问的需要,您不想去调整前期规划的,复杂 &nb......Read More
本文转自:https://www.cnblogs.com/saneri/p/11169926.html Iperf3 是一个网络性能测试工具。Iperf可以测试最大TCP和UDP带宽性能,具有多种参数和UDP特性,可以根据需要调整,可以报告带宽、延迟抖动和数据包丢失.对于每个测试,它都会报告带宽,丢包和其他参数,可在Windows、Mac OS X、Linux、FreeBSD等各种平台使用,是一个简单又实用的小工具。 软件下载地址: https://iperf.fr/iperf-download.php 安装iperf3 12345678在CentOS 7上使用下列命令即可安装:# yum install iperf3 在ubuntu 上使用下列命令安装:# apt-get install iperf3 windows端安装:下载解压安装包,进入dos切换到iperf3解压目录,执行iperf3即可运行. 网络带宽测试 Iperf3也是C/S(客户端/服务器端)架构模式,在使用iperf3测试时,要同时在server端与client端都各执行一个程序,让它们互相传送报文进行测试。 我这边在ubuntu主机安装iperf3作为服务端,ip地址为192.168.1.43 ,本地windows pc机作为客户端,来做测试实验. 1. 首先在192.168.1.43 机器启动server端的程序: saneri@saneri-VirtualBox:~$ iperf3 -s 2. 接着在本地windows PC服务器......Read More
本文转自:https://blog.csdn.net/qq_22763255/article/details/105526447 关于Inter-interface和intra-interface: 要允许具有相同安全级别的接口之间的通信,或允许流量进入和退出同一接口,请在全局配置模式下使用same-security-traffic命令。 要禁用相同的安全流量,请使用此命令的no形式。 same-security-traffic permit {inter-interface | intra-interface}no same-security-traffic permit {inter-interface | intra-interface} inter-interface:允许具有相同安全级别的不同接口之间的通信。 intra-interface:允许进出同一接口的通信(这个一般是不建议开启的,一般用在如VPN流量) 使用指导: 允许相同安全接口之间的通信(由same-security-traffic inter-interface命令启用)提供以下好处: •您可以配置超过101个通信接口。如果为每个接口使用不同的级别,则每个级别只能配置一个接口(0到100)。•您可以允许流量在所有相同的安全接口之间自由转发,而无需访问列表。 same-security-traffic intra-interface命令允许流量从相同的接口进入和发出,这通常是不允许的。此功能可能对进入接口的VPN流量有用,随后会路由到同一接口。在......Read More
本文转自:https://www.cisco.com/c/en/us/support/docs/security-vpn/webvpn-ssl-vpn/119417-config-asa-00.html Contents IntroductionPrerequisitesRequirementsComponents UsedConfigureNetwork DiagramBackground InformationConfigurationVerifyTroubleshootProcedures Used to TroubleshootCommands Used to TroubleshootCommon ProblemsUser Cannot Log InUnable to Connect More Than Three WebVPN Users to the ASAWebVPN Clients Cannot Hit Bookmarks and is Grayed OutCitrix Connection Through WebVPNHow to Avoid the Need for a Second Authentication for the UsersRelated Information Introduction This document provides a straightforward configuration for the Cisco Adaptive Security Appliance (ASA) 5500 Series in order to allow Clientless Secure Sockets Layer (SSL) VPN access to internal network resources. Clientless SSL Virtual Private Network (WebVPN) allows for limited, but valuable, secure access to the corporate network from any location. Users can achieve secure brow......Read More
本文转自:http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=991966&extra=page%3D2 *******************************************1、清空所有密钥对及PKI TRUSTPOINT(config)#crypto key zeroize rsa(config)#no crypto pki trustpoint XXX*******************************************2、外部链接在花生壳官网申请顶级域名,包含txt记录,同时对顶级域名打开DDNS服务设备配置:!ip ddns update method orayHTTP add http://xxx:xxx@ddns.oray.com/ph/update?hostname=www.kagamigawa.tech&&myip=interval maximum 0 0 1 0interval minimum 0 0 1 0!interface GigabitEthernet1description WANno ip addresspppoe enable group globalcdp enablepppoe-client dial-pool-number 1!interface Dialer1description WANip ddns update hostname www.kagamigawa.techip ddns update oray host ddns.oray.comip address negotiatedip nat outsideencapsulation pppip tcp adjust-mss 1452dialer pool 1ppp pap sent-username xxx password 7 xxxppp ipcp dns requestppp ipcp route default!测试下连通性:C:\Users\Lenovo>......Read More
本文转自:http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=990787&extra=page%3D10 需求:1.Inside访问国外路由优先走HK路由器(假定61.128.0.0/8为国内路由,其他都为国外路由)2.Inside访问国内路由优先走ADSL路由器3.DXoutside接口对外提供L2L和anyconnect VPN,允许访问Inside 备注:测试用的ASAv9.91,如果用ASAv9.71相同的路由配置,SSL VPN和L2L VPN会无法连通。二.基本配置1.ASAv防火墙hostname ASAvinterface GigabitEthernet0/0 nameif HKoutside security-level 0 ip address 202.100.1.10 255.255.255.0 no shutdowninterface GigabitEthernet0/1 nameif DXoutside security-level 0 ip address 202.100.2.10 255.255.255.0 no shutdowninterface GigabitEthernet0/2 nameif ADSLoutside security-level 0 ip address 202.100.3.10 255.255.255.0 no shutdowninterface GigabitEthernet0/3 nameif Inside security-level 100 ......Read More
原文作者: Mansur 原文链接: http://nbma.info/asa-vpn-policy-proc/ ASA收到VPN请求,由tunnel-group来识别VPN类型(L2L or 远程拨号 or SSLVPN),然后使用tunnel-group中的认证方法(LOCAL or Radius)进行认证,认证通过后经过以下5个关联属性叠加,得到用户的最终的策略 1.用户属性2.用户属性中关联的group-policy3.tunnel-group中关联的group-policy4.系统默认的group-policy:DfltGrpPolicy5.tunnel-group的属性 这5个策略优先级从高到低,存在重复项时,优先使用最先匹配到的策略。 tunnel-group tunnel-group用于终结VPN连接。一个VPN请求到达VPN,ASA找到一个与之关联的tunnel-group,tunnel-group为每一个成员定义了VPN连接的脚本。 – L2L VPN 当一个L2L VPN抵达ASA,ASA通过这次请求源IP(对端加密点)来查询本地的tunnel-group,如果有一个有一个tunnel-group的名字等于该IP,那么就使用tunnel-group内的pre-shared-key对这次VPN进行认证。 12tunnel-group 61.128.1.1 type ipsec-l2lpre-shared-key IPSECKEY – EZVPN EZVPN的第一阶段认证group的名字必须能和tunnel-group名字一致 12345678tunnel-group ......Read More
原文作者: Mansur 原文链接: http://nbma.info/ezvpn-base/ 协商过程 第1阶段 AM模式,不预选协商DH Group强度,所以必须强制指定group2三个包,因为省略了第一阶段前四个包。第1个包client先发自己支持的策略,组名和预共享密钥第2个包server使用PSK认证client第3个包完成协商 1.5阶段 XAUTH:认证用户(用户名密码/AAA)MODE-CFG:推送策略 第2阶段 快速模式,三个包 配置 第1阶段 1234567crypto isakmp policy 20encr 3desauthentication pre-sharegroup 2crypto isakmp client configuration group GROUPkey NBMAKEY 1.5阶段 123456789101112#配置xauthaaa new-modelaaa authentication login EZ-XAUTH localaaa authorization network EZ-MODE-CFG localusername cisco password 0 cisco#配置策略ip local pool POOL 11.11.11.10 11.11.11.110crypto isakmp client configuration group EZ-GROUPpool POOL 启用aaa之后建议在设备上开启线下保障策略,确保任何时候都可以使用console口 123456aaa newaaa authentication login noacs line noneline con 0login authen noacsline aux 0login authen noacs 第......Read More